标签:流程 网络 信息 排查 进程 应急 挖矿
1. 应急响应的流程
1.1. 为什么会有应急响应?
-
-
- 在工作过程中,会遇到突发的情况,比如:DOS攻击,渗透攻击,病毒感染,需要立即将这些问题清除掉,恢复正常的生产秩序。 这个过程就是应急响应。
1.2. 流程
-
-
- 收集信息:收集客户的信息,以及遭遇情况的表现症状。
- 判断类型:判断是否为安全事件,是哪一种安全事件?(勒索、挖矿、断网、Dos、蠕虫、木马)
- 深入分析:日志分析、样本分析、启动项分析、进程分析
- 清理处置:攻击抑制、阻断攻击、清理(杀掉进程、删除文件、打补丁、系统修复、文件恢复)
- 恢复验证:观察系统运行情况,确认处理已经成功
- 编写报告:将整个应急过程汇总,整理输出报告上报
2. 流程详情
2.1. 信息收集
-
-
- 感染的设备数量
- 补丁情况:已经打过的补丁,漏打的补丁
- 当前的症状:资源消耗情况(CPU、内存、网络链接、磁盘使用、GPU(Linux使用TOP查看)),显示出来的和实际表现情况
- 账号密码:确认是否存在弱口令的情况
- 对外开放的端口
- 目前开启的服务
- 操作系统的版本
- 客户的需求:比如不能断网、不允许重启应用、不能重装系统或应用
2.2. 事件类型划分
-
-
- 有害程序:病毒、蠕虫、特洛伊木马、僵尸网络、webshell
- 网络攻击:DoS、DDoS、后门、漏洞攻击、网络窃听、网络钓鱼、干扰类
- 信息破坏或篡改:信息篡改、信息假冒、信息泄露、信息窃取
- 信息内容安全:违背网络安全发或国家法律禁止的信息暴露
- 设备设施故障:软件系统故障、保障设施故障、人为破坏
- 灾害性事件:自然灾害、人为灾害
2.3. 分析抑制
-
-
- 目的:采取响应操作,降低事件造成的损失
- 方式:物理遏制、网络遏制、主机遏制、程序遏制
-
-
-
-
- (断网)、(网络封禁)、(关机、降低响应用户的权限)、(关闭程序)
2.4. 清理处置
-
-
- 详细排查,根除事件引发因素
- 入手方面:系统基本信息,网络排查、进程排查、注册表排查、计划任务排查、服务排查、关键目录和文件排查、用户组排查、事件日志排查、webshell排查、中间件日志排查、安全设备日志排查
- 清除:删除文件、修复配置、打补丁
2.5. 恢复确认
-
-
- 小范围系统重启,确认清除效果
- 持续观察一段时间:一天到一周
2.6. 报告总结
-
-
- 汇总和整理事件应急全过程,提交处理报告
- 总结事件引发的因素、制定相应的安全生产规范和制度,进行员工培训
3. 挖矿病毒排查
3.1. 现象:
3.2. 分析定位
3.3. 清除病毒
3.4. 恢复确认
3.5. 复盘流程,编写报告
标签:流程,
网络,
信息,
排查,
进程,
应急,
挖矿
From: https://blog.csdn.net/three_1996/article/details/137152540